ฟังก์ชันการใช้งาน

เครื่องมือประเมินความเสี่ยง ความน่าจะเป็น และผลกระทบที่มีต่อเจ้าของข้อมูลส่วนบุคคล กำหนดตัวควบคุมความเสี่ยง ตัวชี้วัด เป้าหมาย ผลการควบคุม และความเสี่ยงคงเหลือ

จากหัวใจสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ด้วยหลักการที่ว่า ผู้ประกอบการหรือองค์กรต้องมีความรับผิดชอบในข้อมูลส่วนบุคคลที่ตนเองได้เก็บรวบรวมและใช้ อีกทั้งผู้ประกอบการหรือองค์กรยังมีความรับผิดจากการไม่บริหารจัดการข้อมูลที่ดีพอด้วย เช่น การนำข้อมูลส่วนบุคคลของบุคคลอื่นไปเผยแพร่เพื่อหาประโยชน์โดยไม่ได้รับอนุญาต ย่อมมีความรับผิดต่อเจ้าของข้อมูลฐานละเมิดสิทธิตามรัฐธรรมนูญ และอาจเป็นการใช้สิทธิซึ่งมีแต่จะให้เกิดเสียหายแก่บุคคลอื่น ผู้ประกอบการหรือองค์กรจึงจำเป็นต้องมีมาตรฐานการจัดการเกี่ยวกับข้อมูลส่วนบุคคลเพื่อที่จะสามารถแสดงให้เห็นได้ว่าตนเองนั้นได้ใช้ความระมัดระวังที่เพียงพอแล้ว

มาตรฐานสากลที่สำคัญประการหนึ่งในการจัดการข้อมูลส่วนบุคคลในส่วนนี้ ได้แก่ “การกำหนดและแยกแยะข้อมูลส่วนบุคคลตามความเสี่ยงและความร้ายแรงของผลกระทบต่อสิทธิและเสรีภาพของบุคคล” นั่นเอง

ซึ่งผู้ควบคุมข้อมูล (Data Controller) จำเป็นต้องแสดงให้เห็นว่ามีขั้นตอนการกำหนดข้อมูลให้เป็นข้อมูลส่วนบุคคลในองค์กร ซึ่งประกอบด้วย Data Policy, Data Discovery, Data Proliferation, Data Risk Level, Data Protection เป็นอย่างน้อย

Risk assessment ในการประเมินความเสี่ยงจะคำนึงถึง “ความน่าจะเป็น” (likelihood) และ “ความร้ายแรง” (severity) ประกอบกัน โดยไม่จำเป็นว่าผลกระทบที่มีความร้ายแรงมากจะถือเป็นความเสี่ยงสูงเสมอไป แต่ควรจะต้องมีความน่าจะเป็นที่จะเกิดขึ้นอย่างมีนัยสำคัญด้วย ในทำนองเดียวกันหากความร้ายแรงน้อยแต่มีความน่าจะเป็นสูงก็ถือเป็นความเสี่ยงสูงได้เช่นกัน โดยอาจใช้แผนผังต่อไปนี้ช่วยในการประเมินได้
ผู้ควบคุมข้อมูลต้องประเมินความเสี่ยงของผลกระทบจากการประมวลผลข้อมูลดังกล่าวที่จะมีต่อเจ้าของข้อมูลส่วนบุคคล โดยควรคำนึงถึงประเด็นเฉพาะต่อไปนี้เป็นอย่างน้อย ว่าจะมีผลกระทบต่อเจ้าของข้อมูลหรือไม่ เช่น ทำให้ไม่สามารถใช้สิทธิได้ตามสมควร, ทำให้ไม่สามารถเข้าถึงบริการ หรือเสียโอกาสบางอย่าง, ทำให้ไม่สามารถควบคุมการใช้งานข้อมูลส่วนบุคคลของตนได้, ทำให้ถูกเลือกปฏิบัติ, ทำให้ถูกสวมรอยบุคคลหรือหลอกลวง เป็นต้น และในการประเมินความเสี่ยง ควรคำนึงถึงเหตุการณ์ที่จะกระทบต่อความปลอดภัยทางสารสนเทศ และความน่าจะเป็นที่จะเกิดเหตุการณ์และผลกระทบจากเหตุการณ์เหล่านั้น เช่น การเข้าถึงระบบโดยมิชอบ, การดัดแปลงหรือสูญเสียข้อมูล เป็นต้น Risk Mitigation เมื่อผู้ควบคุมข้อมูลได้ระบุความเสี่ยงต่างๆที่มี และได้บันทึกพร้อมบ่อเกิดของความเสี่ยงไว้แล้ว ก็ควรจะระบุมาตรการเพื่อลดความเสี่ยงดังกล่าวด้วย โดยควรระบุว่ามาตรการดังกล่าวสามารถลดหรือกำจัดความเสี่ยงได้หรือไม่ ตัวอย่างเช่น
การไม่จัดเก็บข้อมูลบางประเภท
การลดขอบเขตของการประมวลผลข้อมูล
การลดระยะเวลาการจัดเก็บข้อมูล
การเพิ่มมาตรการทางเทคโนโลยีเพื่อความปลอดภัย
การฝึกอบรมบุคลากรให้สามารถประเมินความเสี่ยงและจัดการความเสี่ยงได้
การแฝงข้อมูลหรือการทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้
การกำหนดแนวปฏิบัติภายในเพื่อลดความเสี่ยง
การเพิ่มขั้นตอนที่ดำเนินการโดยมนุษย์เพื่อทบทวนการประมวลผลด้วยระบบอัตโนมัติ
การใช้เทคโนโลยีที่แตกต่างกัน
การจัดให้มีข้อตกลงการใช้ข้อมูลร่วมกัน (data sharing) ที่ชัดเจน
การปรับปรุงข้อมูลแจ้งเตือนเกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล
การจัดให้มีช่องทางที่เจ้าของข้อมูลส่วนบุคคลสามารถเลือกที่จะไม่ให้ความยินยอม
การจัดให้มีระบบอำนวยความสะดวกแก่เจ้าของข้อมูลส่วนบุคคลในการใช้สิทธิของเขา




สนใจติดต่อ